Pesquisadores de segurança da Imperva divulgaram uma vulnerabilidade crítica de exaustão de memória pré-handshake na implementação LSQUIC Quics amplamente usada que permite que os atacantes remotos tragam servidores por meio de ataques de negação de serviço.
A falha, designada CVE-2025-54939 e apelidado de “quic-leak”, ignora as proteções padrão do nível de conexão Quic, acionando antes que qualquer aperto de mão seja estabelecido, deixando os servidores vulneráveis ao crescimento ilimitado da memória e à eventual terminação do processo.
Visão geral da vulnerabilidade
O Quic-Leak representa uma falha de segurança significativa no LSQUIC, a segunda implementação QIC mais amplamente adotada após a quiche do Cloudflare.
| Campo | Valor |
| Cve id | CVE-2025-54939 |
| Nome de vulnerabilidade | Quic-leak |
| CVSS 3.1 Pontuação | 7.5 (alto) |
| Software afetado | Biblioteca Lsquic (<4.3.1) |
| Versões fixas | LSQUIC 4.3.1, OpenLitesPeed 1.8.4, Litespeed Web Server 6.3.4 |
A vulnerabilidade explora como a biblioteca lida com pacotes coalescidos em um único datagrama UDP, direcionando -se especificamente do processo de validação de ID de conexão de destino (DCID).
Quando os invasores criam datagramas de UDP maliciosos contendo vários pacotes iniciais QIC com DCIDs inválidos, apenas o primeiro pacote é libertado corretamente da memória enquanto os pacotes subsequentes permanecem alocados, criando um persistente vazamento de memória.
O mecanismo de ataque aproveita o coalesco de pacotes, onde vários pacotes QIC podem ser combinados em um único datagrama UDP.
Os invasores podem contrabandear até 10 pacotes mínimos de aperto de mão dentro de uma carga útil típica de 1472 bytes UDP, com apenas o primeiro pacote exigindo um DCID válido.
Esse ataque sem estado não requer conclusão de aperto de mão, tornando -o altamente eficiente para os atores de ameaças.
A vulnerabilidade afeta qualquer tecnologia que se baseia na biblioteca quic liteSpeed, incluindo instalações de servidores da Web OpenLitesPeed e LitesPeed.
Dado que a LitesPeed atende a mais de 14% de todos os sites e mais de 34% dos sites habilitados para HTTP/3, o impacto potencial é substancial.
O consumo de memória cresce em aproximadamente 70% da taxa de largura de banda, com cada pacote malformado consumindo aproximadamente 96 bytes de RAM.
Os testes da Imperva demonstraram que, sob condições realistas, usando um servidor 512 MIB OpenLitSespeed, o ataque poderia tornar os sistemas completamente que não respondem quando a utilização da memória atingisse 100%.
Isso pode desencadear condições fora da memória (OOM), resultando em terminação e indisponibilidade de serviço do processo.
A vulnerabilidade foi responsável divulgado para a LitesPeed Technologies em 15 de julho de 2025, com um patch lançado apenas três dias depois em 18 de julho.
O CVE foi designado publicamente em 1º de agosto de 2025, coincidindo com a liberação de versões corrigidas do OpenLitesPeed 1.8.4 e LitesPeed Web Server 6.3.4.
Enquanto Mitre atribuiu inicialmente uma pontuação base CVSS 3.1 de 5,3, a análise da Imperva sugere uma pontuação revisada de 7,5 devido ao alto impacto de disponibilidade.
As organizações devem atualizar imediatamente para o LSQUIC versão 4.3.1 ou posterior, incluídas no OpenLitesPeed 1.8.4 e na LiteSpeed Web Server 6.3.4.
Para os sistemas não conseguirem atualizar imediatamente, os administradores devem implementar proteções no nível da rede, aplicar limites de uso da memória e monitorar os padrões incomuns de tráfego de UDP.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!